[시큐리티 Q&A] 보안 시스템의 효과적인 외주 운영 가이드

입력 : 2016-10-17 20:55

Q. 외부 인원에게 대부분의 보안 시스템 운영을 외주 주고 있는데요. 사실 그들에 대한 보안조치는 미흡한 것 같습니다. 외주 인력의 보안관리를 위한 별도의 가이드나 참고할 만한 운영사례가 궁금합니다.

[보안뉴스 원병철 기자] 외주 인력 보안통제를 위해서는 기본적으로 계약서에 보안사항에 대하여 계약내용에 명시하거나 보안특약 등으로 강화해야 합니다. 또한, 외주 인력에 대한 신원확인, 보안서약서 징구 및 정기적인 보안 의식 강화교육 등을 추진할 필요가 있습니다. 외주 인력이 내부 시스템에 접근하여 수행한 작업 등에 대한 접근이력을 관리하고 주기적인 점검을 실시해야 합니다. 또한, 보안 시스템 운영권을 시스템별로 최소화해 운영하고, 필요시 내부망과 외부망을 분리하거나, 외주 인원 PC의 보안업데이트, 백신, 매체제어 등 기본적인 PC 보안 준수 여부도 확인 또는 요구할 필요가 있습니다.

만약 중요 개인정보처리시스템 운영 시 강력한 통제가 필요하다면 SOC(보안운영센터)와 같은 통제된 환경에서 근무하도록 하여 보안조치 수준을 높일 수도 있습니다. 외주인력 보안 관리를 위한 가이드는 한국인터넷진흥원(KISA)에서 발간한 ‘IT 외주인력 보안통제 안내서(2011.12)’, 금융위원회의 ‘외주 용역업체 보안관리 강화방안(2011.11)’를 참고하시기 바랍니다.
[문성태 한국정보보호심사원협회 이사(munnt72@hotmail.com)]

외부인원의 보안관리는 두 가지 관점(예방, 사고대응)의 가이드라인이 필요합니다. 계약 전, 계약 시, 계약 중, 계약 종료의 모든 절차에서 발생할 수 있는 민감한 기밀정보에 대해 위험분석(평가, 관리)의 평가수준을 높이고 주기적인 보안수준 점검을 통해 보안현황을 파악하고 사전조치에는 지침이 필요합니다.
[이준택 중앙대학교 교수(joontaiklee@gmail.com)]

우리나라 사례를 보면, 2011년 12월에 방송통신위원회와 한국인터넷진흥원에서는 ‘IT 외주인력 보안통제 안내서’를 발간한 바 있으므로 이를 활용하면 외주 인력의 보안 관리에 도움이 될 것으로 생각합니다.
[한국산업기술보호협회 중소기업기술지킴센터]

외주 인력에 대해 여러 가지 보안관리 가이드와 운영사례들이 있지만 가장 중요한 팁은 엄격한 계정 및 권한 관리를 통해 항상 시스템에 접근하도록 하는 것이 아니라 업무 필요에 따른 접근만을 허용하도록 해야 한다는 점입니다. 다음으로는 데이터와 어플리케이션에 접근하는 것에 대한 접근제어와 사용에 대한 모니터링을 통해 악의적인 사용자 행위에 대해 탐지할 수 있어야 합니다. 기본적으로는 사후 감사 데이터 수집으로 머물러 있는 현재에 관리 체계를 좀 더 고도화할 필요가 있습니다.
[박형근 IBM 실장]

보안 시스템을 운영하는 외주 인력에 대한 철저한 검증이 반드시 필요합니다. 본사 보안팀 인력 채용과 동일한 기준으로 외주 인력을 선발했고 권한과 책임에 대한 모든 내용을 계약서 상에 명시해야 합니다. 시스템에 대한 최소한의 권한만 부여했으며 모든 액션은 본사 보안팀 요청이 있을 시에만 수행하도록 해야 합니다.
[장석은 티몬 실장]

개인정보처리 위탁의 경우 개인정보보호법 제26조 및 동법 시행령 제28조에 의거하여 (1) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 (2) 개인정보의 기술적/관리적 보호조치에 관한사항 등의 내용이 포함된 문서를 활용하여 계약을 수행해야 하며, 교육 및 관리·감독을 통하여 기관의 개인정보보호 처리규정에 따라 안전하게 관리되고 있는지 정기적으로 확인해야 합니다.

위탁업체의 개인정보보호를 위하여 다음과 같은 가이드라인을 참조하시고, 해당 가이드라인은 개인정보보호 종합포털(www.privacy.go.kr) → 자료마당 → 지침자료에서 확인 가능합니다.

- IT수탁사 이행확인 가이드라인
- 개발보안 가이드라인
- 개인정보보호 자율점검 가이드라인

※해당 법령: 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한), 개인정보보호법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치)
[김세정 이지서티 선임연구원(ksj@easyceri.com)/
김가영 이지서티 전임연구원(gykim@easycerti.com)]

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 3

  SW 공급망 보안 가이드라인 1.0 발표.....

• 4

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 5

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...